3.2.3 蜜罐技术

蜜罐技术本质上是一种针对攻击者的欺骗技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击者对它们实施攻击，从而对攻击行为进行捕获和分析，了解攻击者所使用的工具与方法。安全人员可根据蜜罐中掌握的攻击信息，对实际环境进行审视和加固，以做到提前防御。比如在防火墙中对攻击者的IP进行拦截，或者对攻击者使用的有效负载进行告警和阻断。

网络空间中每天都有大量的系统和应用漏洞被发现，攻击者有时会使用厂商未出补丁或者未被重视的漏洞进行大范围利用，企业对这些漏洞的具体利用细节和攻击方法并不了解，也就无法进行有效防御。当企业成为攻击对象，业务受到影响时，应急保证业务和找出攻击方法是当务之急。保证业务继续提供服务相对简单，只要服务器的控制权还在，停止恶意服务和删除恶意程序基本上能够让服务重新正常运行。为避免再次被攻击，需要找出攻击方法堵住缺口，这需要完善的监控体系和日志记录。在正常情况下，出于性能和空间的考虑，服务器并不会打开所有的监控功能，有限的日志往往会限制对问题的进一步深入追查。但蜜罐服务器自身不承载业务，且目的就是为了发现攻击和溯源，因此可以最大程度地开启所有的监控记录日志，甚至是记录所有的流量包。

可以在蜜罐中部署与实际应用相似的环境，包括操作系统、中间件、应用方面。发生安全应急时，蜜罐中的发现或许能够提供很大的帮助。在2017年年末，不少企业服务器被安装了挖矿木马，导致CPU负载过高，服务被强行终止。在应急删除恶意挖矿软件来保证业务持续运行的同时，找出攻击者使用的手段和缺陷软件是十分急迫的，这样才能进行有效的防御。若企业有部署WebLogic的蜜罐，这台蜜罐服务器也可能会受到相同的攻击。对蜜罐中攻击前后五分钟的日志和流量包进行分析，就能够根据挖矿软件中出现的IP溯源找到攻击者使用的恶意有效负载，而大部分企业并不会在访问日志中记录POST部分的内容或者一段时间内的流量包。

腾讯反病毒实验室曾使用蜜罐系统监控到大量名为Okiru（Satori）的IoT蠕虫活动情况。该蠕虫使用了路由器0day漏洞进行大规模传播，无需获得密码就能够控制受害设备，然后从感染设备上发起第二轮的网络攻击。目前，蜜罐技术被越来越多的企业所接受，用来捕获网络中的行为，为企业自身的安全防护提供策略依据。